Infection WORM/Sdbot (Analyse Hijack) - Page 2

Précédent
  • 1
  • 2
  1. sks Messages postés 96 Statut Membre 2
     
    De retour, il se fait tard, mais voici les dernières nouvelles :
    Je n'ai rien fais en mode sans echec le portable se coupe, c'est fou.

    J' ai tout de même fais le scan en mode normal, et ça donne rien il est encore la! voici ce que je trouve dans le log :

    Fri Sep 14 22:24:04 2007 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Accès refusé. (0x5)

    Donc je suis totalement à l'ouest ! j'ai refais un scan c-cleaner et a chaque demarage il me ressort ces lignes :

    Marqué pour l'effacement: C:\Documents and Settings\Julien SIKORSKI\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Marqué pour l'effacement: C:\Documents and Settings\Julien SIKORSKI\Cookies\index.dat
    Poubelle vidée (107 fichiers) 4,80MB

    le virus de départ ! donc whaouw c'est raide...
    Merci.
    et bonne nuit...
    0
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    vraiment bizarre cette histoire
    on va supprimer les fichiers trouvés par le scan de malekal de cette façon
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    C:\WINDOWS\RUNXMLPL.exe
    C:\WINDOWS\system32\bdod.bin
    C:\WINDOWS\system32\check.exe
    C:\WINDOWS\system32\SpoonUninstall.exe
    C:\Documents and Settings\Julien SIKORSKI\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    C:\WINDOWS\Services.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.
    je te fais supprimer index dat mais il va se recréer c'est normal...

    pour le virus dans ta restauration système, on va le supprimer en toute fin de désinfection, c'est très simple, il suffit de désactiver puis de réactiver la restauration système et le virus sera supprimé par la suppression des points de restauration, mais cela il ne faut pas le faire tant que l'on a pas fini, au cas où...mieux vaut une restauration infectée que pas de restauration du tout...

    puisque Bit Defender ne trouve rien, Kaspersky (e scan ) ne fonctionne pas, supprime le d'ailleurs, par ajout suppression de programes
    essaie sur l'un de ces sites de voir ce qu'on trouve...
    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    http://pandasoftware.fr
    http://www.secuser.com/outils/antivirus.htm
    http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=fr&venid=sym
    0
  3. sks Messages postés 96 Statut Membre 2
     
    Bonjour papyber,
    J'ai essayé de refaire un scan avec bitdefender hier soir après mon dernier message (juste avant de tomber de sommeil!!), et oui je n'avais pas désactivé mon bitdefender lors du premier scan, donc ceci fait voici le log des virus trouvés par bitdefender online :

    Statistiques

    Temps
    00:54:53

    Fichiers
    215649

    Directoires
    4936

    Secteurs de boot
    4

    Archives
    6774

    Paquets programmes
    9010

    Résultats

    Virus identifiés
    1

    Fichiers infectés
    1

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    1

    Info sur les moteurs

    Définition virus
    804020

    Version des moteurs
    AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

    Analyse des plugins
    14

    Archive des plugins
    38

    Unpack des plugins
    7

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP364\A0072234.exe
    Infecté par: Backdoor.SDBot.DEWZ

    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP364\A0072234.exe
    Echec de la désinfection

    C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP364\A0072234.exe
    Supprimé

    Donc le virus devait être supprimer, j'ai donc redemarrer mon portable, et j'ai relancé Ccleaner et il y a toujours les deux lignes marqués pour l'éffacement.

    Bon je vais commencer par un Thé et par cette nouvelle solution, et je reviens poster le résultat !!

    Merci beaucoup....
    0
  4. sks Messages postés 96 Statut Membre 2
     
    Voici ce que ça donne avec OTMoveIt :

    File/Folder C:\WINDOWS\RUNXMLPL.exe not found.
    C:\WINDOWS\system32\bdod.bin moved successfully.
    File/Folder C:\WINDOWS\system32\check.exe not found.
    File/Folder C:\WINDOWS\system32\SpoonUninstall.exe not found.
    File move failed. C:\Documents and Settings\Julien SIKORSKI\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
    File/Folder C:\WINDOWS\Services.exe not found.

    Created on 09/15/2007 09:10:52

    Je vais faire un scan online avec secuser pour voir...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sks Messages postés 96 Statut Membre 2
     
    Alors secuser ne fonctionne pas, je dois passer en mode administrateur mais je ne l'ai pas (il n'y a que ma session)
    Pour les deux autres, ils n'ont rien trouvés, mais ccleaner retrouve toujours les mêmes lignes.
    Merci papyber...
    0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    C:\Documents and Settings\Julien SIKORSKI\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    cette ligne tu la retrouveras toujours
    je l'ai aussi sur ccleaner à chaque nettoyage!!
    c'est normal
    voici celle que j'ai dans mon PC
    C:\Documents and Settings\HubertI\Local Settings\Temporary Internet Files\Content.IE5\index.dat

    bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

    https://forum.pcastuces.com/default.asp

    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
    démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0
  8. sks Messages postés 96 Statut Membre 2
     
    Merci beaucoup papyber pour ce que tu as fais pour moi je souhaite vraiment que ce virus soit exterminé.
    Grace à vous "les aides", je comprends de plus en plus de chose sur ce forum

    J'ai exactement la protection que tu me donne, avec ad-aware en plus et bitdefender en parfeu et antivirus (achat -> car c'est le portable du travail)

    Donc merci encore, et bon weekend, en cas de pépin je relance ce post.
    Bye...
    0
Précédent
  • 1
  • 2